最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

Bluebottle黑客使用签名的Windows驱动程序攻击银行

网络安全 快米云 来源:28U.CC 182浏览

Bluebottle 黑客使用签名的 Windows 驱动程序攻击银行

已签名的 Windows 驱动程序已被用于对法语国家/地区银行的攻击,可能来自威胁参与者,该威胁参与者从多家银行窃取了超过 1100 万美元。

这些活动和目标符合 OPERA1ER 黑客的特征,这些黑客在 2018 年至 2020 年间至少成功发动了 35 次攻击。

据信该团伙有讲法语的成员,并在非洲开展活动,目标是该地区的组织,尽管他们也袭击了阿根廷、巴拉圭和孟加拉国的公司。

Bluebottle TTP 指向 OPERA1ER

在今天的一份报告中,Broadcom Software 旗下部门赛门铁克的研究人员披露了他们追踪的名为 Bluebottle 的网络犯罪集团的活动详细信息,该集团与 OPERA1ER 团伙的战术、技术和程序 (TTP) 有着显着的相似之处。

网络安全公司 Group-IB 在 2022 年 11 月上旬发布的一份长篇报告中记录了OPERA1ER 的活动 ,研究人员在报告中指出缺乏定制恶意软件和大量使用现成工具(开源、商品、框架)。

赛门铁克的报告增加了一些技术细节,例如使用 GuLoader 工具加载恶意软件和签名驱动程序(内核模式)帮助攻击者终止在受害者网络上运行的安全产品的进程。

研究人员表示,该恶意软件有两个组件,“一个控制 DLL,它从第三个文件中读取进程列表,以及一个由第一个驱动程序控制并用于终止列表中的进程的签名‘帮助’驱动程序。”

看起来签名的恶意驱动程序已被多个网络犯罪集团用来禁用防御。Mandiant 和 Sophos  于 12 月中旬在一份列表中 报告了这一问题,其中包括使用Microsoft 的 Windows 硬件开发人员计划的 Authenticode 签名验证的内核模式驱动程序

微软签名的 POORTRY 驱动程序
微软签名的 POORTRY 驱动
来源:my.28u.cc

Mandiant 将驱动程序跟踪为POORTRY,称其最早的迹象是在 2022 年 6 月,并且它与多种证书一起使用,其中一些被盗并在网络犯罪分子中很受欢迎。

赛门铁克研究人员发现的版本虽然是同一个驱动程序,但却使用了中国公司珠海联成科技有限公司的数字证书进行了签名。

这表明网络犯罪分子拥有可以提供来自可信实体的合法签名的提供商,因此他们的恶意工具可以通过验证机制并避免被发现。

研究人员指出,同一驱动程序被用于涉嫌导致针对加拿大非营利实体的勒索软件攻击的活动。

赛门铁克表示,他们看到的 Bluebottle 活动最近发生在 2022 年 7 月,并一直持续到 9 月。但是,其中一些可能会在几个月前的 5 月开始。

最近的攻击也显示了一些新的 TTP,其中包括在攻击的初始阶段使用 GuLoader。此外,研究人员发现有迹象表明威胁行为者使用 ISO 磁盘映像作为以工作为主题的鱼叉式网络钓鱼的初始感染媒介。

“然而,7 月份以工作为主题的恶意软件在路径中被观察到,表明它已安装为 CD-ROM。这可能表明插入了真正的光盘,但也可能是恶意的 ISO 文件被传送给受害者并安装了”——赛门铁克

赛门铁克研究人员分析了针对非洲国家三个不同金融机构的蓝瓶病毒攻击。其中一个威胁行为者依赖于系统上已有的多种双重用途工具和实用程序:

  • Quser 用于用户发现
  • Ping 用于检查互联网连接
  • 用于网络隧道的 Ngrok
  • net localgroup /add 用于添加用户
  • Fortinet VPN 客户端 – 可能用于辅助访问通道
  • Xcopy 复制 RDP 包装文件
  • netsh 在防火墙中打开 3389 端口
  • Autoupdatebat“Automatic RDP Wrapper 安装程序和更新程序”工具可在系统上启用多个并发 RDP 会话
  • SC privs 修改 SSH 代理权限——这可能是为了密钥盗窃或安装另一个通道而被篡改

尽管受害网络上的最后一次活动出现在 9 月,但研究人员表示,Ngrok 隧道工具一直存在到 11 月,这支持了 Group-IB 关于 OPERA1ER 黑客长期(三到十二个月)坐在受感染网络上的发现。

Bluebottle 还使用了 GuLoader、从内存中提取密码的 Mimikatz、记录击键的 Reveal Keylogger 以及 Netwire 远程访问木马等恶意工具。

威胁行为者在初始妥协后大约三周开始使用命令提示符和 PsExec 进行手动横向移动活动。

虽然对攻击的分析和使用的工具表明 OPERA1ER 和 Bluebottle 是同一个组织,但赛门铁克无法确认他们看到的活动是否与 Group-IB 报告的一样成功获利。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Bluebottle黑客使用签名的Windows驱动程序攻击银行